Skip to main content
vishing

Vishing: Cómo prevenir estas estafas telefónicas

Escrito por Ginzo Technologies en . Publicado en Blog.

El termino vishing, combina las palabras voice y phishing, corresponde a una nueva modalidad de estafa donde su objetivo es suplantar la identidad de la víctima, mediante VoIP (Voice over IP), con esto logran recrear la voz automatizada que usan las entidades bancarias. Esta estafa combina el teléfono e internet, dándole un vuelco a las modalidades de estafa existente.

Y es que, un ejemplo de esta estafa es cuadno la víctima recibe un SMS donde se le notifica que ha realizado una compra con su tarjeta de crédito en un establecimiento de su zona, a su nombre, y allí le indican un número de teléfono al que deben comunicarse si esa compra no fue realizada por la persona, y llaman directamente, pues están alarmados y no se les ocurre buscar el teléfono de la sucursal o de atención al cliente de la entidad bancaria.

Una vez que la víctima llama, entonces lo atenderá una centralita que estará encargada de solicitar su DNI y número de tarjeta, para que supuestamente puedan cancelar la compra fraudulenta. Después de colgar, la víctima se queda tranquila y satisfecha con “el banco”, cuando en realidad, les ha proporcionado a los estafadores los datos confidenciales que necesitaban.

¿Ves lo fácil que les resulta lograr sus objetivos a los estafadores de vishing? Por eso hoy en este post te explicaremos en detalle cómo funciona esta estafa y como puedes evitarla.

¿Cómo funcionan las estafas vishing?

Las estafas de vishing operan de dos formas distintas:

  • Vishing de email + contestador automático: este es el vishing más común, se basa en el envío de correos electrónicos donde le piden a la víctima que llame a un número telefónico en donde responde un contestador automático que solicita información confidencial al usuario. Este mecanismo no es tan eficiente como la llamada directa, pero sí es más masivo y escalable, consigue datos a nivel internacional sin necesidad de contar con muchos recursos y el riesgo es menor. La excusa que usan en el correo para lograr que la víctima llame, es que “han detectado un movimiento extraño en sus cuentas bancarias”, como: retiro de altas cantidades de dinero con alguna tarjeta de crédito o débito. Y de esta forma logran alarmar a los usuarios, y que estos proporcionen los datos personales que les solicitan para según “detener o revertir las operaciones o transferencias”.
  • Vishing con phishing + llamada telefónica: en este caso el ciberdelincuente consigue la información mediante el envío de un correo electrónico o una web fraudulenta (se denomina phishing) pero al necesitar información adicional, como un código enviado por SMS a la víctima, que suelen requerir cuando se cuenta con el uso del Doble Factor de Autenticación. Para lograr obtener esta información faltante (código SMS o clave token digital) para validar las operaciones fraudulentas, los criminales llaman por teléfono a la víctima y se identifican como personal de su entidad bancaria, al ganarse la confianza y alarmar al usuario con argumentos de urgencia o riesgo, le solicitarán la clave que les falta. En este método los cibercriminales recrean todo un escenario relacionado con la llamada para lograr engañar a los usuarios y alcanzar su objetivo, pueden replicar voces e incluso el ambiente de un call center bancario, ponerte en espera con música corporativa, etc.
vishing ejemplos

Método de prevención

Para evitar que los usuarios sean víctimas de esta estafa, la Oficina de Seguridad del Internauta (OSI) de España, ha dado las siguientes recomendaciones:

  1. No comparta información personal.
  2. No confíe en llamadas de números desconocidos o con numeración sospechosa.
  3. Compruebe la legitimidad de la llamada.
  4. Utilice apps de rastreo de llamadas.
  5. Contacte siempre a los teléfonos oficiales de las entidades.
  6. Evite herramientas de acceso remoto.
  7. Sea prevenido al momento de la información que comparte en internet, evite publicar datos sensibles que sean de utilidad para que los ciberdelincuentes lo investiguen y conozcan su nombre, dirección, número de teléfono y dirección de correo electrónico.

¿Cuál es la diferencia entre vishing y el smishing?

Cuando se habla de estafas en internet, suelen aparecer los términos vishing y smishing, para distinguirlas veamos el siguiente cuadro comparativo.

VishingSmishing
Se realiza por llamadas telefónicas. El delincuente llama contando con datos de la víctima que obtiene en Internet. Se produce en dos pasos: 1. Robo de datos mediante internet o email (usan el formato de phishing o smishing). 2. Contacto con la víctima, el delincuente se hace pasar por un trabajador o técnico de la entidad financiera, institución gubernamental, tienda electrónica o plataforma audiovisual, y así obtienen las claves de seguridad que necesitan, o números de tarjeta de crédito o débito. Captan la atención de los usuarios, mediante mensajes de compras fraudulentas, facturas impagadas, cierre de su cuenta bancaria, bloqueo de una cuenta en una plataforma específica, reembolsos pendientes a su favor mediante bizum de parte de la seguridad social.  Se realiza por mensajes instantáneos (SMS fraudulentos). Los delincuentes se hacen pasar por una entidad bancaria, institución gubernamental, tienda de comercio electrónico o una plataforma audiovisual como Netflix o Prime Video. Captan la atención de los usuarios indicándoles que su tarjeta de crédito, sus datos personales, el pago de un pedido o su suscripción a la plataforma presentan algún error o han sido hackeadas. Obtienen los datos sensibles del usuario, solicitando que actualice sus datos haciendo clic en el enlace que proporcionan en SMS. Redirigen al usuario a una página web idéntica a la de real, pero esta es fraudulenta, y allí es donde obtienen los datos del usuario con los que entraran a la plataforma real.

Como ves, este tipo de estafa cada día es más frecuente, por eso debes estar cada vez más alerta y confiar en tu sentido común, si algo te parece sospechoso no proporciones información, recuerda que las entidades bancarias, instituciones gubernamentales, entre otras, nunca te solicitarán información confidencial vía telefónica u online, como tu clave de acceso, códigos de acceso que te lleguen vía SMS; números de tarjetas de crédito o débito, tu DNI, entre otros.

Siempre debes verificar que las llamadas, mensajes o correos sean legítimos y si tienes dudas contacta al número telefónico de la entidad bancaria antes de realizar cualquier acción. Esperamos que esta información te haya sido de utilidad, recuerda compartirla con otros conocidos.